Çok sayıda kuruluştan Windows yöneticileri, yeni bir Microsoft Entra ID’nin MACE adı verilen “Sızan Kimlik Bilgileri” algılama uygulamasının sunulmasında yanlış pozitiflerle tetiklenen yaygın hesap kilitlerini bildirmektedir.
Bu uyarılar ve lokavtlar dün gece başladı, bazı yöneticiler yanlış pozitif olduklarına inanıyorlar, çünkü hesaplar başka herhangi bir sitede veya uygulamada kullanılmayan benzersiz şifrelere sahipti.
Eskiden Azure Active Directory olan Microsoft Entra ID, kuruluşların kullanıcı kimliklerini yönetmesine ve kaynaklara güvenli erişime yardımcı olan bulut tabanlı bir kimlik ve erişim yönetimi hizmetidir.
Bu sabah erken yayınlanan bir Reddit iş parçacığında, Windows Adims, Entra’dan birden fazla uyarı aldığını bildirdi, bu da kullanıcı hesaplarının bazılarının karanlık web’de veya diğer konumlarda sızan kimlik bilgileri ile bulunduğunu gösterdi.
Bu hesaplar, kuruluş başına çok sayıda kullanıcı etkilenen kiracıdan otomatik olarak kilitlendi.
Reddit’e bir yönetici, “Biz de … hesaplarımızın yaklaşık 1/3’ü yaklaşık ~ 1 saat önce kilitlendi. Biz de bunun müşterilerimize olduğunu varsayıyorum.”
Kilitli hesaplar, şüpheli imzalar gibi hiçbir uzlaşma belirtisi göstermedi ve MFA ile korundu. Ayrıca, ben Pwned (HIBP) gibi ihlal bildirim hizmetlerinin bu hesaplar için eşleşmesi yoktu.
Reddit ile ilgili başka bir rapor, bunun yaygın olduğunu ve MDR sağlayıcısının, farklı müşterilerden sızdırılmış kimlik bilgileri ile ilgili olarak Microsoft’tan 20.000’den fazla bildirim aldıklarını belirten desteklendi.
Microsoft bu kilitlemlerin nedenini kamuya açıklamamış olsa da, Microsoft etkilenen kuruluşlardan birine bunun “MACE kimlik bilgisi iptali” adı verilen yeni bir kurumsal başvurunun sunulmasıyla ilgili bir sorundan kaynaklandığını söyledi.
“Mühendisle yeni çıktı. Bu Mace Ninja Sunumu nedeniyle kiracı lokavttır. Uzlaşma belirtisi yok. Uzlaşma belirtisi için bir saate ihtiyacı var. Uzlaşmadan kilitlenmeye dönüştürmek için bir saate ihtiyacı var.
Birden fazla kişi, bu başvurunun uyarıları almaya başlamadan hemen önce kiracılara eklendiğini doğruladı.
MACE kimlik bilgisi iptal uygulaması, sızdırılmış kimlik bilgilerini ve lokavt potansiyel olarak tehlikeye atılan hesapları algılamak için kullanılan bir Microsoft Entra özelliğidir.
Bir hesabın tehlikeye atılmadığını doğrulamak için sızdırılan tüm kimlik bilgilerinin tüm uyarıları araştırılmalıdır, ancak aynı anda bir uyarı telaşı aldıysanız, bu sunum muhtemelen buna neden oldu.
BleepingComputer, bu olayla ilgili sorularla Microsoft ile temasa geçti, ancak şu anda bir yanıt almadı.